요즘 흩어져 있던 개인 자료들을 노션으로 합치고 있습니다.
다른 노트 앱 보다 조금 느리긴 해도 기능이 다양해서 써볼 만 할 것 같았는데요.
이제 막 정리가 끝나가는 중이었는데, 보안에 심각한 문제를 발견했습니다.
[예제GIF] 10MB용량 맞추느라 힘들었습니다..ㅠㅠ
노션에 첨부된 파일을 클릭하면 웹브라우저가 뜨면서 다운로드 받습니다.
이미지나 PDF 같은 파일은 다운로드 받지 않고도 웹브라우저에서 바로 보여주죠.
그때 주소창을 보면 첨부파일마다 amazonaws.com로 시작되는 파일주소가 붙어 있는걸 볼 수 있습니다.
그런데 이 파일주소가 아무 제한 없이 노출되어 있습니다. 주소만 알면 누구나 다운로드 받을 수 있습니다.
혹시나 싶어서 파일주소를 친구에게 보내 줬는데 파일이 열린다는 말을 듣고 깜짝 놀랐네요;;;
일단 저 스스로 노션의 기능을 완벽하게 이해한 것도 아니고 오해하고 있는 부분이 있을지 모른다는 생각에
며칠 동안은 계속 테스트도 해보고 노션 고객센터에 문의도 해봤습니다.
일단 현재까지 확인한 내용은 다음과 같습니다.
1. 노션을 로그아웃해도 파일주소만 알면 누구나 파일에 접속할 수 있습니다.
파일주소가 유출되었는지 알 수 없고, 누가 얼마나 다운받았는지도 알 수 없습니다.
하지만 노트는 주소가 notion.so으로 되어 있고 반드시 로그인을 통해서만 볼 수 있게 되어 있습니다.
(왜 이렇게 구분 지어놨는지는 모르겠습니다.)
2. 다운로드 받을 때마다 웹브라우저 방문내역과 다운로드내역에 파일주소가 남습니다.
공용PC에서 노션 사용은 매우 위험합니다. 이용 후 반드시 인터넷 사용기록을 초기화 하셔야 합니다.
3. 원본파일을 삭제해도 파일주소는 살아있습니다.
노션에서 파일을 삭제해도 접속됩니다. 문서를 통째로 삭제해도 접속됩니다.
하지만 사용자가 파일공유를 차단하는 방법은 없습니다.
4. 한번 유출된 파일은 24시간 동안 막을 수 없습니다.
모든 파일주소는 24시간 후에 삭제됩니다.
노션에서 파일을 삭제했든 안 했든 상관없이, 한 번 만들어진 파일주소는 24시간 후에 접속되지 않습니다.
24시간이 지난 파일주소에 접속하면 아래와 같은 화면이 출력됩니다.
협업툴로써 노션을 사용하는 기업들이 많다고 들었습니다.
게다가 노션의 유료요금제는 파일 업로드가 무제한이라서 파일 공유가 많을 것으로 예상됩니다.
노션이 서비스를 시작한 지도 꽤 시간이 흘렀는데 이런 보안 문제를 해결하지 않고 있는 게 의아하네요.
노션 생태계 안에서 기업의 민감한 자료들을 보호하려면 사용자 입장에서도 좀 더 심각하게 받아들여야 할 것 같습니다.
일단 당장은 노션 측에 꾸준히 요청하면서 기다려보는 수밖에 없겠네요.
조심해서 사용하고는 있지만, 이 문제가 해결되지 않으면 머지않아 다른 앱으로 다시 옮겨야 할 것 같습니다.
저도 노션빠인데.. 급 걱정되네요
바로 수정될 듯.
헌디 개인 노트에 첨부된 파일의 객체 주소는 노트주인만 알수 있다는 가정에서 출발한 아키 이기에 보안 문제라고 볼 수 있을까 싶네요. ㅎㅎ
다만 노트삭제시 해당 객체도 함께 삭제되는 식으로 했으면 좋았을것 같긴 합니다
헌디... 노션에 노트별 버전관리 또는 타임머신 기능이 있어서 저리 디자인 한게 아닌가 싶기도 하네요.
제보하면 금방 고쳐질거 같긴하네요.
근데 24시간으로 signed url 만들다니... 요건 좀 심하긴 하네요.ㅋㅋ
저도 검색하면서 알게 된 의아한 부분입니다.
이 보안 문제가 꽤 오래 전부터 이슈 되고 있었고 노션 개발진이 알면서도 안 고치고 있는 것 같았습니다.
서비스 컨셉의 문제가 아니라 자료가 유출될 수 있는 보안 문제인데 문제를 가볍게 여기는 것 같아요.
반드시 먼저 구글드라이버에 업로드 한 후,
구글드라이브 링크를 노션에 연결하여,
드라이브 계정권한으로 보안처리를 하고 있습니다만, 완벽한 보안이 되는 상황인지는 판단이 안되네요 ^^;;
반드시 앞단에 권한체크하는 백엔드 프로그램이 구성되어 있어야 합니다....
위에 분처럼 임시적으로 구글드라이브 링크로 권한체크 하면 그나마 낫지만 참 어이없는 방식으로 첨부파일을 관리하네여....
에버노트에서 갈아탈까 한 100번 고민하다가 자료가 제대로 안넘어가서 그냥 에버노트 버티고 쓰고 있었는데 불행중 다행인지...ㅡㅡ;
Signed URL은 어이없는 방식이 아닙니다. Public으로 Open 하는게 아닙니다.
반드시 권한체크를 위한 백엔드를 별도로 구성할 필요도 없습니다.
일부 설정에 문제가 있어보이지만은...말씀하신 것 처럼 취약한 상태가 아닙니다.
그래도 앞에 lambda 나 api gateway 로 계정체크만 해줘도 될껀데 그냥 signed 로 time체크만 하는건 좀 너무 낙관적인거 같네여...ㅡㅡ
그래서 저는 노션에 절대 첨부파일을 업로드하지 않고 있습니다.
https://blog.naver.com/libre_voyage/221370671862
https://appletreetrunk.tistory.com/375
저도 검색하면서 본 적이 있는 것 같네요. 링크 찾아주셔서 감사합니다 :)
저도 노션 측에 문의해서 답변을 받았는데요.
문의 과정은 빠르고 친절했지만, 답변 내용으로만 보면 문제를 심각하게 생각 안 하는 느낌이 들었습니다.
그리고 노션 CEO는 중국인이라고 하더군요.. Ivan Zhao입니다.
물론 중국에서 노션 서비스가 차단당한 이력도 있고 하지만 좀 찝찝하네요...
그리고 최근에 무료화 한 것도 글쎄요... 어디서 자금이 튀어나오는지는..
우려하실 만한 부분이 있는 것(Signed URL의 만료기간이 길게 설정된 부분)은 맞지만, 대부분의 경우 그정도로 까지 걱정하실 일이 아니고, '퍼블릭으로' 설정되어있다나, 단서없이 '누구나 열어볼수 있다' 적절하지 않은 말입니다.
(참고로 자세히 말씀드리기는 어렵지만, 보안이나 AWS 모두 충분히 설명드릴수 있는 경험이 있습니다.)
이 상황은 내 파일이 공개 상태로 업로드가 되어있거나, 어떤 복잡한 패턴만 알면 불특정 다수의 파일에 접근할수 있는 상황이 아니고,
S3 Signed URL이라는 방법으로 서명된 URL을 통해 제한적으로 공유되는 상황입니다.
조금 자세히 설명 드리면....
AWS의 리소스와 API의 접근은 대부분 각 AWS 계정의 IAM을 기반으로 일어납니다.
가령, 이 케이스에서 `S3에 Object GET하는 권한`이 필요하죠.
이러한 권한 부여를 IAM User나 Role에 부여할수 있습니다. User는 개발/운영 용도로만 사용하는게 맞으니 무시하셔도 되고.
IAM Role을 이용해서 클라이언트 사이드에서(Cognito Idp 활용) 혹은 서버사이드에서(가령 EC2, Lambda상의 코드에서 생성) 일반적으로는 접근할수 없는 S3 객체에 제한된 시간동안 접근할수 있도록 만드는 것이 Signed URL입니다.
Signed URL을 만들때 전략에 따라, 사용자 별로 완전히 특정할수 있는 개별의 짧은 시간의 URL을 만들수도 있고...그룹 별로 일정시간 공유해서 사용할 걸 만들 수 도 있습니다.
전문용어가 많아서 이해를 못하고 있습니다ㅠㅠ 죄송합니다.
저는 파일주소에 24시간 동안 아무나 접속 가능한 것이 걱정되는 부분입니다.
제한적으로 공유되는 상황이라는 건 무엇인가요? 혹시 파일주소로 모두가 접속되는 건 아니란 말씀이신가요?
그리고 노션 측이 파일공유 시간을 더 짧게 줄일 수 있었는데도 24시간으로 설정해 놓았다는 말씀이신가요?
유출된 Signed URL을 24시간 이내에 누군가 접속한다면 파일이 유출되는 상황 맞지 않나요..
signed url 을 생성하는 문제가 아니라, 생성된 URL 이 공용 PC 의 브라우저 이력 등에 의해서 유출될 수 있으니 주의하라는
작성자분의 글에 문제가 없는것 같습니다.
말씀하신대로 불특정 다수가 brute-force 할 수 없다는 것은 동의합니다만, 그렇다고 해서 모든 문제가 해결되거나 보안적으로 완벽하다고 볼 수 없지않나요
말씀하신 부분 중에...
-> Signed URL 을 timed(정상, 아래 설명) 로, 그리고 별도의 권한 체크 과정이 생략된 형태로 만들었는데
요 부분은
Signed URL을 만들때 클라이언트/서버 사이드 어느쪽이든, ID기반으로 현재 문서의 접근 권한 고려해서 URL 생성 로직을 만들겁니다. 이걸 다른 경로로 받을 수 있는 경우가 있으면 문제지만, 이 상황은 정상적인 절차로 만들어진 URL에 재접하는 문제를 말씀드리는 겁니다. 권한 체크가 없는게 아닙니다.
@
요약하면,
- S3는 '잠겨있고', 이를 임시로 접근할수 있는 링크(서명=암호화된) 를 안전하게(HTTPS) 전달받아 사용하는 것 (클라이언트 만 볼수 있음)
- 이는 공유하는 링크일수도, 나만쓰는 링크일수도 있습니다.
- 이 방법은 노션이나 AWS 기반인 경우만 사용하는 것이 아니라, 웹에서 프라이빗 컨텐츠를 제공하는 일반적인 방법입니다. (웹페이지 컨텐츠는 특성 상, 반복적으로 접근할수 있기 때문에 횟수가 아닌 시간으로 접근 통제)
- 시간이 긴건 문제입니다. 근데 트레이드오프가 존재하니 가능한 만료주기를 길게 잡는게 유리합니다. (길면 보안에 상대적으로 취약해지지만, 응답속도에 유리하고 서버측 자원사용량이 줄어듭니다. 모든 컨텐츠에 곱해서 적용되겠죠.)
- 이외에도 헤더/쿠키를 사용하는 방법도 있는데, 보안상 크게 차이가 나는게 아닙니다. (오히려 불리, 편의성의 문제)
- 클라이언트 측 보안이 통제가 안되는 경우는, 이 문제 뿐 아니라 일반인이 손쉽게 리플레이를 할수 있냐의 차이일 뿐이지, 더 근본적인 위험이 많습니다. (가령 키로깅...)
* 원래 공유 PC는 조심해야된다. 너무 걱정 안하셔도 된다 로 요약할 수 있겠습니다.
친절하고 자세한 댓글 감사합니다 :)
아마존 서버의 특징이라기보다는 서버운영 기술로써 이해하면 될런지요?
웹서비스를 운영할 때 일반적인 기술이라는 부분에서 공감합니다. 그도 그럴것이 저도 이 글을 작성하기 전 비슷한 다른 서비스를 함께 테스트해 봤는데요. 파일 URL을 최대한 숨겨서 안 보이게 하고 웹브라우저에 기록되지 않도록 하는 방법을 쓰긴 했지만, 소스를 확인하면 노션 처럼 누구나 접속해 볼 수 있는 URL이 저마다 존재하는 걸 볼 수 있었습니다.
앱의 성격은 조금 다르지만, 디스코드 같은 경우 채널에 업로드한 파일을 삭제한 후 24시간이 넘어 며칠이 지났는데도 현재까지 여전히 파일주소로 접속되는걸 확인했습니다. 내부적인 기술은 아마 노션과 비슷하다고 느껴졌는데 맞을까요?
저도 공용/공유 PC를 쓸 때는 조심하는 편이지만, 클라우드에 있는 대부분의 자료나 문서들은 제가 로그아웃만 잘해도 남들이 볼 수 없었습니다. 그래서 이번 노션 문제를 다소 과하게 느끼는 것 같습니다.
아직은 소소한 개인용 자료들을 올리고 있지만, 업무용으로 써볼까 고민 중이었거든요ㅜㅜ
근데 업무용으로 쓰는 건 저 혼자만 조심하면 될 문제가 아니라서.. 조금 겁나네요.
우선 그 주기가 좀 긴점. 삭제가 일어났을때 원본 오브젝트를 그대로 남기는 점(삭제하거나, 접근 불가능한 형태로 아카이빙 필요, 어쨋든 약관에 따라)이 문제이지...나머지 부분은 큰 문제가 아닙니다.
Signed URL이 HTTPS를 통해 안전하게 전달이 된다는 전제하에 URL이 노출되는건 클라이언트 뿐이고, (중간의 ISP 포함)
같이 쓰는 사용자를 믿을 수 없고, 클라이언트를 본인이 통제할수 없는 환경에서의 인터넷의 보안 문제는 비단 노션만의 문제는 아니죠. 인터넷 기록, 캐싱 데이터 이전에 아이디 패스워드를 털어갈수 있는 환경인데요.
파일주소는 복잡해서 유추할 수 없습니다. 하지만 파일을 열 때마다 웹브라우저에 기록이 남는 게 위험합니다.
그리고 협업하는 누군가가 실수로 파일주소를 유출해도 공유를 차단할 수 있는 방법이 없습니다.
어쩌면 파일주소가 유출되었는지 눈치채기도 힘들 겁니다.
저는 노션을 개인 PC에서만 사용하고 있으니 당장은 걱정하지 않지만
여러 PC에서 작업하는 민감한 기업자료라면 매우 위험할 수 있는 부분입니다.
아마 노션보다는 시간이 훨씬 짧을겁니다.
구글포토도 URL이 공개되어 있나요?
지금 구글포토에 사진 올리고 주소를 복사해서 다른 웹브라우저로 접속해봤는데 로그인 페이지로 연결되네요.
당연합니다. 근데 노션은 그 주소에 누구나 접속 가능하다는 점을 말씀드린 겁니다.
브라우저 히스토리에 남는 것이 문제는 맞는 것 같고요.
파일주소가 "파일을 업로드할 때' 생기는 건지, "파일을 처음 클릭해서 열 때" 인지는 아직 잘 모르겠습니다만,
한번 생긴 주소는 파일을 삭제하든 계속 남겨놓든 24시간 후에 접속이 끊기더군요.
그래서 만약 자주 쓰는 파일주소를 즐겨찾기 해놓는다 해도 24시간 동안밖에 못 열어봅니다.
그러니 신뢰할 수 없는 사람에게 파일 주소를 공유하려면 오히려 기존 파일주소를 알려주시는 게 더 좋을 것 같네요.
노션을 노트로만 쓰거나 개인 PC에서만 사용한다면 유출될 일은 거의 없을 겁니다.
저도 아직 노션을 대체할 만한 노트를 못 찾고 있고 이제 막 정리를 끝낸 참이라 막막한 상황이긴 하네요.
다만 보안 문제를 생각하면 쓰면 안 될 것 같아 대안을 생각해보고 있습니다.
헉.. 이게 심각하지 않다고 생각하시나요?
제가 모르는 부분이 있을까 싶어서 글을 쓰기 전에 노션과 비슷한 여러 노트 앱과 협업 툴을 비교해봤는데요.
접속하려면 로그인을 해야 하거나, 공유설정을 할 수 있거나, 파일주소가 노출되지 않도록 인앱뷰어를 쓰거나 하는 식으로 나름대로의 방법으로 서비스하고 있었습니다.
노션 처럼 파일주소가 쉽게 노출되는 경우는 찾지 못했습니다.
이 경우, 누군가 공유 PC에서 열어본 파일을 남들이 계속 열어볼 수 있는 부분인데..
사용자의 시스템에 대한 오해라고 보기에는 큰 보안 문제라 생각되었습니다.
어자피 보안적인 측면에서 한번이라도 파일을 본 사람은 영원히 그 파일을 볼 수 있다고 가정해야 하기 때문에 큰 의미는 없습니다.
저 링크를 복사해서 저장해놓는거보다 아예 저 파일 자체를 복사해서 로컬에 백업해두는게 확실하겠죠?
그래서 링크를 막아도 딱히 보안이 향상되지 않습니다.
댓글로 많은 분들이 s3에 대한 특징을 설명해주셔서 이제 조금은 알 것 같습니다만,
의아한 것은 노션과 비슷한 다른 서비스들은 왜 그렇지 않냐는 점입니다.
협업툴 내에서 지정된 인원에게는 정보를 모두 공개한 거나 다름없습니다.
말씀하신 것처럼, 파일을 영원히 볼 수 있다고 가정한다는 표현이 맞습니다.
그런데 저는 그 파일주소가 소유자의 허락 없이 누군가에게 유출될 수 있다는 말씀을 드린 겁니다.
이런 상황에서 링크를 막는 기능마저 없다면(시스템적으로 막을 수 없다면 다른 방법으로라도) 기업의 협업툴로써 너무 무방비한 것이 아닌가 생각됩니다.
"fine grained access control"이 필요한 경우라는 것은 무엇이고
"막는 툴"이 있다는 건 무엇인가요?
협업툴을 쓰는 사람들이 모두 개발자는 아닐 텐데.. 죄송하지만 이해를 못하고 있습니다.
협업툴을 사용하는 기업들이 보편적으로 사용하는 보안툴 같은게 있나요?
다른 서비스들은 만료 시간을 수초에서 수분으로 하고 요청시마다 서비스에서 권한 체크를 해서 다시 링크를 만들텐데
노션처럼 처리하는게 일반적이라고 하니 당황스럽네요.
사용자가 공유를 했다가 공유를 끊어도 파일에 대한 링크가 24시간 살아 있다고 하면 사용자들이 받아 들일수 있을지 의문 입니다.
댓글 감사합니다ㅜㅜ
처음 저 문제를 발견할 때만 해도 사용자 입장에서 심각하게 받아들여야 하는 큰 문제라 생각했는데..
그렇지 않는 경우도 있나보네요. 노션이 이 문제를 오랫 동안 남겨놓은 이유를 알 것 같기도 하고요..
다만 사용자가 부주의하게 URL을 노출할 경우 문제가 있는게 맞고 노션이 저렇게 구성한 점에 대해서는 그다지 편들어 주고 싶지 않네요. 돈이 문제죠. 사람들이 잘 몰라서 오해하는 거고 다들 저렇게 한다는 부분은 동감할 수 없고요. 기술적인 옳고 그름도 중요하지만 사람들이 어떻게 느끼고 서비스를 어떻게 쓰고 있는지도 중요한겁니다.
공용PC에서 노출되면 안되는 이미지를 열람하는 것 자체가 보안적으로 문제 상황입니다. 말씀하시는 주소가 노출되는 상황도 이렇게 발생하는 것인데, 이것을 유출이라고 보기는 어려울 것 같고요. 노트 삭제(히스토리 까지 모두 삭제) 후에도 파일은 24시간 남아 있는 것은 아마 약관에 관련 사항이 명시되어 있을 겁니다.
이것이 보안 측면에서 올바르다 올바르지 않다는 기준에 따라 다릅니다. 개인 혹은 회사 차원의 보안 기준을 충족하지 못한다면 노션을 사용하지 않는 것이 맞습니다.
보여주신 링크 잘 보았습니다. 친절한 설명 감사합니다.
그런데 2015년 당시에는 구글포토가 어떻게 작동되었는지 잘 모르지만 현재 구글포토는 주소창에 보이는 사진 URL만으로는 남이 볼 수 없습니다. 사진을 선택하고 [공유할 링크 만들기]를 설정해야 공유할 수 있게 되어 있네요.
그리고 구글포토나 페이스북과는 달리 노션은 기업의 중요한 자료가 공유되는 협업 공간입니다.
회사의 중요 프로젝트 자료가 담긴 대용량 ZIP파일 일수도 있고, 중요한 계약서 PDF 파일 일수도 있을 텐데 쉽게 파일이 유출 될 수 있는 여지가 남아있다는건 큰 문제라 생각됩니다.
제가 노션의 보안 문제에 대한 글을 쓴 건 단순히 마음에 안 들어서 하는 볼멘소리가 아닙니다.
물론 노션 약관에 있을 수도 있죠. 그리고 마음에 안 들면 그냥 안쓰는 것도 방법일 겁니다.
하지만 이런 문제를 발견했다면 서로 의논하고 개선을 요구해야 더 나은 서비스가 되는 것 아닐까요?
노션의 구현 방식이 좋다고 하고 싶은 것은 아닙니다. 다만 말씀하신 부분들이 '심각한 보안 문제', 혹은 '쉽게 유출'이라고 하기 어렵고, 이 이상의 보안수준이 필요하다면 (노션의 로드맵을 예상해봤을 때 앞으로도 해결은 어려울 것이므로) 노션 외에 대안을 고려해봐야 한다는 의도였습니다. (애당초 보안이 중요한 회사라면 노션을 쓰면 안되고, 노션 등에 계약서 파일 등을 올리거나 공용 PC에서 이를 열람하는 행위는 더더욱 안될테고요)
원론적이고 댓글이 답답하다고 느끼셨을 수도 있지만, 츄우 님이 걱정하시는 포인트는 이해가 됩니다. 노션이 협업 툴로 한국에서도 열심히 광고하고 있는 만큼 보안적으로 더 보완할 수 있으면 해야 할 부분도 맞고요.
댓글 감사합니다. 여러 댓글을 통해 생각보다 웹서비스들이 안전하지 않다는 사실을 알게 되었네요.
다만 많은 분들이 '이런 서비스 운영하려면 원래 이렇게 만들 수밖에 없어. 다들 그렇게 해.' 라고 말하는 것 같아
그 부분은 공감하기 힘들었던 것이 사실입니다.
그리고 비슷하게 운영되는 다른 서비스들은 눈속임으로라도 대처를 해놓았다면,
노션은 무방비하게 손 놓고 있다는 느낌이 들어 더 위험해 보였습니다.
보안이 중요한 회사라면 노션을 쓰면 안 된다고 하셨는데 기술에 대한 지식이 없는 저 같은 일반인들은 노션이 어느정도 보안이 취약한지 알 수가 없습니다. 그냥 요즘 유명한 기업용 협업툴로만 알고 있죠.
전에 사용한 슬랙이나 에버노트 같은 서비스는 이런 문제가 전혀 없었으니 저에게는 당연한 게 아니었습니다.
아무쪼록 제가 답답해하는 부분을 이해해 주셔서 감사합니다. 저도 많은 도움 되었습니다.
물론 노션 클라이언트가 직접 그 url을 어딘가로 백도어로 유출하고 있다? 그러면 이젠 이건 차원이 다른 문제라 난리나는게 맞습니다만... 그건 아니죠?
많은 분들이 글을 써주셨는데, 유출만 되지 않는다면 문제가 없는 방식인데... 제목에 뭔가 큰 문제를 확정하고 말씀하시는 바람에 "노션이 안전하지 않습니다!" 라며... 제목때문에 "원래 그런 기술인데 몰랐냐?"는 얘기가 나올수밖에 없습니다.
솔직히 개인적인 생각으론... 유튜브 제목 어그로때문에 피곤한데 여기서까지 보니까 반발감이 생기는 거죠. 말씀하신 문제가 걱정되신다면... 노션을 쓰지 않는걸 권장드리고 싶네요.
맞습니다. 유출되지 않으면 문제없습니다. 그래서 저도 노트 위주의 사용이나 집에서 개인 PC에서만 사용할 경우에는 큰 문제 없다고 생각합니다. 유출될 경우를 염두하면 정말 손 놓고 당하는 문제라 그 부분을 지적하고 싶었습니다.
제목의 경우 고민 많이 하고 적긴 했는데 쉽지 않네요. "심각한 보안문제!"라고 하기에는 너무 어그로 같고, "조심해서 쓰세요" 라고 하기에는 위험성을 못 느끼실 것 같아서 "안전하지 않은 노션"이란 느낌으로 적었는데, 너무 확정적이고 강하게 느껴지셨나 봅니다. 실패했네요 ㅠㅠ
좀 더 고민하고 작성할 걸 그랬네요. 조언 감사합니다.
p.s. 제목 수정해 봤습니다 :)
1. 파일을 올리면 당연히 나만 접근 가능해야 합니다.
2. 공유하려면 어떤계정에게 그리고 얼마동안 공유할지 지정해야되고 그 계정이 아니거나 시간이 지나면 접근불가 되야 합니다.
제가 아는 거의 모든 signed url 기능들은 공유 접근할때 계정체크와 권한체크를 합니다.(심지어 public으로 하면 되묻기도 합니다.확실하냐고...). 상식아닌가여 ㅡㅡ?
그리고 s3 원래기능이렇다고 얘기들이 있는데 s3기능은 기능인거고 그걸 이렇게 구현해서 쓴다는건 그냥 인프라비용 줄일려는 꼼수라고 보입니다.
그런데도 알고도 사용하는건 결국 사용자가 결정할 문제로 보이네여...
답답하네요....아예 잘못알고 계시는 내용도 있는데 이리 주장하시니...
구글에 signed url이라고 쳐볼까요?
https://cloud.google.com/storage/docs/access-control/signed-urls?hl=ko
첫번째 검색결과 GCP 구글클라우드의 스토리지 서비스에서 정의한 Signed URL이 나옵니다.
첫 문장이 "이 페이지에서는 Google 계정 유무에 관계없이 서명된 URL을 가진 모든 사람에게 제한된 시간 동안 리소스 액세스 권한을 부여하는 데 사용되는 서명된 URL의 개요를 제공합니다." 입니다.
모든사람이 제한된 시간 동안 접근이 가능한 액세스 권한을 부여하는 것이라구요. 아마존만 그런게 아니고 그 용어 자체가, 최소한의 연산만으로 특정시간동안 액세스를 부여하려는 기술이란 의미입니다. 하지만 URL을 만드는 자체가 특별한 권한을 요구하기 때문에 노출만 안되면 괜찮다는 의미입니다. 이미 말씀중에 사실이 아닌 점이 나왔죠.
말씀하신대로, 매 요청마다, 파일의 권한을 확인하도록 할수 있습니다. 그럼 서명된 URL을 쓸일이 아니라 그냥 파일 공유용 API라고 해야 맞습니다. 근데 그렇게 만들면 매 요청 마다, 데이터베이스에 접근하든 공유하는 상태값이 필요합니다. 이때문에 추가적인 인프라가 필요하고, 응답시간이 늦어집니다. 매 요청이라고 하셨으니...한페이지에 들어가있는 파일 갯수만큼 곱하기로 늘어납니다.
또한 이런 파일을 제공하는 서버가 복수 대로 이루어지기때문에 파일을 저장할 공유 스토리지가 필요합니다. 이런 구성으로 확장성을 가지고 가기는 어렵습니다.
애초에 웹은 HTTP고, TCP 기반인데다 새로고침이 빈번하기 때문에 재요청은 수시로 발생하고, 웹을 구성하는 컨텐츠의 파일갯수는 생각하시는것보다 훨씬 많습니다. 이를 프라이빗으로 구현하기는 굉장히 힘들기 때문에, 여러파일에 편하게 재접근 하기위해 Signed cookie도 쓰는 마당에, 재접근 되는것 자체가 문제라니요.
사용하시는 대부분의 서비스는 사실 노션과 비슷하게 구현되어 있을 겁니다. 단지 그 만료시간이 짧을 뿐이지요.
첨언하면, Signed URL은 집안에까지 모셔다 드린 택배같은 겁니다. 안전하게 잘간거에요. 내용물도 아무도 모르구요.
근데 지금 내가 룸메랑 같이사는데, 거실에 까놓은 택배 내용물 노출이 걱정된다 이야기하는 겁니다. 애초에 같이사는게 문제라구요. 더한것도 할수있어요. 이걸 쇼핑몰 탓할일이 아니라구요. 방에서 보고 폐기하던가(시크릿 모드) 하시라구요.
제 생각에 처음 파일을 첨부할때 굳이 사용자가 원하시도 않은 signed url 을 생성할 필요가 있는가에 대한 얘기 입니다. signed url 은 파일 owner 가 공유하기 원하는 시점에 생성하는게 맞다고 봅니다.
내가 처음에 파일을 올리는 시점에 남과 공유하기 원하지 않았다면 설사 내부적으로 s3 singed url 을 사용해서 파일첨부기능을 만들었다고 하더라도 다른사람은 접근 못하게 막아야 하는게 정상 아닌가 해서 드린 얘기 입니다.
(만일 님께서 공유할수 있는 signed url 을 임의로 만드신거면 제가 노션기능을 잘 몰라서 잘못 얘기한거 구여...)
링크를 생성하면 당연히 링크를 클릭한 아무나 접근 가능해야 하죠..
뭔가 오해를 하신듯..
링크만 공유 안하시면 되는건데요. 링크를 유출시킨다음 왜 공유됐냐고 하시면..
"링크를 생성하면 당연히 아무나 접근 가능해야 하는 것" 은 틀립니다.
저는 노션을 쓰면서 첨부파일을 남에게 공유하려고 URL을 만든 적이 없어요.
노션에는 첨부파일 공유기능이 없습니다.
노션은 "페이지"의 공유기능만 있습니다.
페이지를 볼 수 있는 권한이 있는 사용자만 첨부파일도 열어볼 수 있습니다.
URL도 "'notion.so"로 되어 있기 때문에 권한이 없는 사람이 접근하면 로그인 페이지로 이동합니다.
그 기능은 사용자가 "직접" 공유설정을 해야 공개됩니다.
사용자가 파일을 열어볼 때마다 원치 않은 공개 URL이 만들어졌다면
bigzero님 말씀처럼 다른사람이 접근을 못 하게 막아야 하는 것이 정상입니다.
그 공개 URL를 관리하는 게 기술적으로 복잡하고 비용이 많이 들고 운영하기 힘든 것이라 해도
사용자 입장에서는 공유를 허락한 적이 없기 때문에 잘못되었다고 생각하는 겁니다.
말씀하신 것처럼 링크만 남이 모르면 됩니다. 이론적으론 맞습니다.
그런데 그동안 수많은 개인정보들은 왜 계속 유출되고 있는 걸까요?
왜 우스갯소리로 내 개인정보는 공공재가 되었다고 말 할까요?
결국 개인이 실수했던가, 시스템에 빈틈이 있어서 정보가 새는 것이고
누군가 악의적인 마음을 갖는다면 충분히 뺏을 수 있기 때문입니다.
파일 다운로드 링크는 다운로드를 위한 링크고 그 링크에 접근할수 있는 권한을 노션이 관리하는겁니다.
애초에 저기능은 저렇게 쓰게 되어 있는거에요.
그럼 그페이지는 공유하되 그 안에 있는 첨부파일은 못열어야 한다는건가요?
그페이지를 열어야지 URL을 알수가 있는데 뭐가 문제 인지 모르겠네요.
예를들어 님 메일에 님만 들어갈수 있죠? 님만 비번을 알수 있으니까요.
어떤 사이트 비밀번호 초기화 인증메일을 해당 메일로 연결해놔서 초기화 링크가 왔어요.
그 링크를 카톡으로 친구한테 보내면 그 친구가 접속해서 비번초기화가 되나요? 네. 아무나 접근할수 있어요.
그럼 아무나 접근할수 있는 그런 보안상 취약한가요?
아니요 왜냐면 님만 그 메일에 접근 할 수 있으니까요.
노션도 님만 노션에 접근 할 수 있잖아요?
맞습니다. 노션에서 페이지를 공유하면 제가 설정한 모든 사람이 볼 수 있어야 합니다.
공유 설정에 따라, 한 사람만 볼 수도 있고, 불특정 다수에게 모두 공개할 수도 있습니다.
그런데 말씀이 잘 이해가 안 됩니다.
링크에 접속하는 권한을 노션이 관리한다고 하셨는데,
노션이 하는 관리라는 것이 "파일주소를 24시간 동안 모두에게 공개한다"인 것인가요?
저는 왜 노션이 "내가 공유하지 않은 파일을 허락 없이 공개하는가"를 문제 삼는 것입니다.
페이지 공유를 한 적이 없는데 왜 페이지 안에 있는 첨부파일 주소가 공개되어야 하는지 이해되지 않습니다.
본문이나 댓글을 보시면 아시겠지만 제가 우려하는 부분은 단순합니다.
1. 파일을 열면 파일주소가 웹브라우저 방문기록에 남습니다.
2. 그 파일주소는 파일을 삭제해도 누구든지 24시간 동안 계속 열어볼 수 있습니다.
3. 이 파일주소는 여러 사람이 협업 시 유출될 가능성이 존재합니다.
메일 인증을 왜 예로 드셨는지 모르겠습니다.
메일로 온 초기화 링크 같은 걸 남에게 보여준다 해도 그건 본인이 인지하고 결정한 문제 아닌가요?
모르는 사람이 제 웹브라우저 방문기록을 열어서 제 메일함에 있는 초기화 링크를 훔쳐 갈 순 없잖아요.
노션에 비유하자면, 메일에 첨부파일이 있는데 "링크 주소 복사" 해서 남들에게 보여주면 누구나 다운로드 받을 수 있다는 거나 다름없습니다. 그런데 네이버메일, 지메일에 있는 파일주소를 남들이 접속하면 어떻게 되나요?
당연히 열리지 않습니다. 로그인 페이지로 안내합니다.
본인이 로그인한 상태여야만 파일을 다운받을 수 있습니다.
님 노션에는 님만 접속할수 있기 때문에 생성된 링크는 님만 알수 있잖아요.
그 링크를 밖으로 유출만 시키지않으면 문제 되지 않는단 뜻입니다.
그걸 공유하는건 님 선택이고 공유받은 당사자가 유출시키는건 그 당사자의 몫이죠.
메일인증을 예를 든이유는 메일에 로그인해서 츄우님이 본 링크는 아무나 접근할수 있지만 실제로는 아무나 접근하기 힘들단 얘기를 하려고 한거에요.
다시말하면 제가 츄우님 카톡으로 링크를 하나 보내줬습니다. 디스코드, 텔레그램 초대 링크든, 링크를 보내드렸어요. 이게 보안상 취약한가요? 당연히 저는 츄우님만 카톡에 로그인 할수 있을것이고 츄우님만 볼수 있을거라 생각하겠죠? 그게 맞는거구요.
근데 츄우님이 그 링크를 복사해서 다른사람에게 전달했습니다.
이게 보안상 취약한건가요?
님이 말씀하신 사례랑 비슷하겠죠?
츄우님께 공유한 저는 츄우님에게만 공유하려고 텔레그램 링크를 생성했고 보내드렸죠?
근데 츄우님이 그걸 따른사람에게 유출하면 다른사람은 접근을 못해야 정상인가요?
저는 츄우님 외에는 다른사람의 접근은 차단하고 싶었은데 그렇게 안됐네요?
그런데 제 텔레그램 링크는 제가 로그인 하고 생성해야지만 만들어지죠?
즉 제가 링크를 밖으로 돌리지 않으면 노출될 일이 없겠죠?
쓰고 보니까 위예도 안맞다고 하실거 같아서 비슷한 예를 들어 드릴께요.
제가 네이버 블로그에 비공개로 포스트를 올렸습니다. 그리고 파일도 첨부했습니다.
해당파일의 URL을 따고 접속하면 다운이 받아지죠?
로그아웃 하고 그 링크에 다시 접속하면 또 받아집니다.
카톡으로 님에게 전송하면 츄우님도 받을수 있어요.
이게 보안상 취약한가요? 다른사람은 비공개 블로그 포스트를 볼 방법이 없는데요..
서로 다른 방향으로 말하고 있는 것 같습니다.
말씀하시는 내용이 자꾸 공개된 URL은 흔하게 쓰이고 있다는 데에 초첨이 맞춰져 있네요.
그래서 누구나 열 수 있는 URL 사례를 계속 찾으시는 거고요.
로그인된 메신저로 링크 주고받다가 유출되는 사례를 같은 선상으로 두시니 어떻게 말씀드려야 할지 모르겠습니다.
초대링크 같은 경우 공개된 URL로 작동하는 것 알고 있습니다.
근데 이 링크는 일차적으로 나만 볼 수 있고 PC 어딘가에 기록에 남는 건 아니잖아요? 누가 링크를 사용했거나 자동폐기되면 다시 요청하면 되었고요. 그리고 텔레그램이나 디스코드 같은 경우 초대 링크는 만든 사람에게 공유 권한이 있어서 링크를 폐기할 수도 있지 않습니까?
이런 문제가 걱정되는 사람이 있다면 저처럼 이의를 제기했겠죠.
저도 이 글을 쓰기 전에 혼자만 하는 걱정인지, 다른 앱들은 어떻게 쓰이는지 살펴보고 내린 결정이었습니다.
알려주신 사례와 제 글을 동일 선상으로 보신다면 당연히 아닙니다. 말씀하신 사례라면 저는 보안이 취약하다고 생각해본 적이 없습니다.
부족하셨는지 아래 네이버 블로그 사례도 적어주셨는데 끝도 없을 것 같습니다.
저는 이 공개 URL로 운영되는 기술이 얼마나 여러 곳에 쓰이는지 알려고 글을 쓴 것이 아닙니다.
메일, 노트, 협업툴 같은 민감한 정보가 저장되는 서비스에 대한 이야기입니다.
노션은 기업용 협업툴로 사업을 하는 곳인데 이런 보안이슈가 있다는 게 이해가 안되는 겁니다.
왜 다른 서비스는 이 문제를 해결했을까요? 노션만 왜 이 문제가 발견되나요?
최근 노션으로 옮겨 오면서 협업툴로 써볼지 검토하는 중에 이런 보안 문제가 발견되었고
수십, 수백 명의 직원이 노션을 쓰고 있다면 파일 유출이 될 가능성이 있는데, 유출되어도 24시간 동안 할 수 있는 대처가 아무것도 없다는 게 보안 문제라고 쓴 글이 그렇게 불편해 보이셨나요?
그럼 노션은 이 문제를 그냥 두어야 할까요? 사용자로서 저는 '아 원래 이런거구나. 나만 조심하면 되겠지'라고 생각하는게 최선인가요? '마음에 안 들면 안 쓰면 되지!' 라고 하시는 건 아니겠죠?
그러니까 저는 이걸 큰 이슈가 아니라고 말하는 겁니다.
네이버 블로그 비공개 포스트에 첨부한 파일이 그냥 다운로드 되는건 별 문제 없어 보이시나요?
내 컴퓨터로 로그인한 비공개 노션글에 있는 파일링크가 어떻게 하면 밖으로 나갈까요.
이걸 많은사람들이 이슈라고 받아들여서 이슈화 했으면 고쳐졌겠죠.
예전부터 나온 얘기인데 안고치는 이유는 대부분은 별문제 아니라고 생각하기 때문이죠.
저도 별 문제 아니라고 생각해서 쓰고 있고. 많은 사람들이 별 문제 아니라고 생각해서 그냥 쓰고 있어서
개발사 측에서도 별문제 아니거나 우선순위가 아니니까 그냥 놔두겠죠?
이걸 수정했을때와 안했을때 리소스 차이를 보면 저도 놔둘거 같네요.
본문보다 댓글이 더 길어지는 이 상황이 힘들지만 그래도 이해를 바라는 마음에 적어봅니다.
저는 큰 이슈라고 생각하지만 "간지는페이크"님 입장에서는 큰 이슈가 아니라 생각하실 수 있고 모두가 생각이 같을 순 없으니 그건 어쩔 수 없다는 것 잘 알고 있습니다.
하지만 말씀하신 사례들이 제 기준에서 벗어나 있기 때문에 공감하기 힘들었던 부분이었고요.
네이버 블로그에서 파일이 다운로드 받아진다고 하셨죠?
그럼 위 댓글에서 제가 말씀드린 것 처럼 메일에 첨부한 파일은 왜 외부에서 다운로드 받을 수 없게 되어 있나요?
보안이 중요한 민감한 자료가 있다면 네이버 개인 블로그에 비공개로 관리 하는 경우가 많을까요? 아니면 여러 개인과 비즈니스로 메일을 주고받는 네이버 메일이 더 많을까요?
왜 둘은 다르게 운영되고 있는 걸까요? 똑같이 네이버에서 하는 서비스인데 말이죠.
"많은 사람들이 별문제 아니라고 생각하고 개발사도 별문제 아니니까 놔둔다"고 하시는데 물론 그렇게 생각하실 수 있습니다. 그런데 정말 많은 사람들이 노션의 이 문제를 알고 있다고 보시나요?
댓글만 봐도 처음 아는 분들이 있고 문제라고 하시는 분도 있고 뒤늦게 알고 대응책을 세웠다는 분도 있는걸요.
저 역시 아직 노션에 자료가 남아있고, 파일주소가 노출된다는 걸 안 이상 당분간 조심해서 쓸 겁니다.
하지만 이미 알고 있는 한 더 좋은 대안이 생기면 옮겨가야겠죠.
오래된 자동차는 열쇠 조합이 몇천 개 밖에 안된다고 합니다.
이 사실을 소비자에게 홍보할 리는 없으니 그것도 처음에는 개발한 사람들만 알고 있었겠죠.
저도 뉴스로 사례가 생기기 시작하면서 꽤 나중에 그 사실을 알았고요. 그래도 누구나 내 차 문을 열 수 있는 건 아니었고 그때는 그 기술밖에 없었을 겁니다.
하지만 계속 개선해서 열쇠 패턴도 다양해지고 스마트키도 나오고 하지 않았습니까?
근데 다른 협업툴에는 없는 보안 문제가 노션에는 있는데 그게 기술적인 문제가 아니라, 그저 개발자들이 중요하게 느끼지 않아서 안 고치고 있다는 것과, "간지는페이크"님 역시 그렇게 생각한다 하셔서 생각을 많이 곱씹게 되었습니다.
아래 "에르가"님이 쓰신 카카오맵 사례가 저에겐 더 와 닿습니다.
카카도맵 즐겨찾기 공유기능이 "공개"로 기본설정되어 있어서 사용자가 제대로 확인 안 하면 쉽게 노출될 수 있어서 큰 논란이었죠.
논란 후에는 기본설정이 "비공개"로 바꿨다고 하더군요. 심각한 보안 문제였지만 쉬운 방법으로 해결했습니다.
저는 노션이 이 정도의 논란이라고 생각합니다.
어떤 노트앱 중에는 파일속성을 보면 노션처럼 공개URL을 쓰는 경우가 있습니다. 대신 그 앱은 인앱뷰어로 띄워서 주소창이나 방문기록에 남지 않도록 최소한의 장치를 해놓고 있었습니다.
다른 분들이 설명해주시는 내용이나 제가 찾아본 내용을 종합해 보면
공개URL 방식이 흔히 쓰이는 대중적인 서버기술이고, 운영 비용이 적게 들고, 이렇게 구현하는 게 개발자에게 편하다입니다. 이게 맞을까요?
노션은 작은 회사가 아닙니다. 이제 막 시작한 스타트업도 아닙니다.
직원이 부족한 것도 아니고 회사에 돈이 없는 것도 아닙니다. 기업가치가 2조가 넘습니다.
저는 솔직히 사용기를 쓰면서, 이 문제를 보완할 수 있는 팁이나 대책이 나오거나 노션 측에 많은 사람들이 개선을 요구해서 고쳐지길 희망했습니다.
다른 분들이 친절하게 기술을 설명해주실 때만 해도 이 기술을 이해하면 대안이 생기는건 줄 알았습니다.
그리고 이 방식이 사실 사용자 편의에 더 좋다 던가 하는 소식을 얻길 기대했습니다.
근데 결론은 '그냥 원래 이런거다'라는 의미더군요.
이래서는 어떤 기술도 서비스도 발전할 수 없습니다.
크든 작든 문제점이 보이면 고칠 수 있는 방법을 먼저 생각하는 게 우선 아닌가요?
signed url 저렇게 쓰는거에요. 저렇게 쓰려고 나온겁니다.
url을 갖고 있는게 인증받은 사용자란거에요..
예를들어 자전거는 페달을 구르면 앞으로 가게 만든거에요.
근데 거기다 대고 왜 페달을 굴러야 하냐라고 말한거란 뜻입니다.
사용자가 업로드한 파일 암호화 해서 보관 하는것과 그냥 보관하는것 뭐가 더 좋나요?
암호화 해서 보관하는게 더 좋다고 하시겠죠?
아니요. 그냥 물으면 둘다 좋은거에요. 둘다 장단점이 있는겁니다.
그걸 서비스를 제공하는 사람이 결정하겠죠? 필요여부에 따라서 쓰임에 따라서.
저건 저렇게 썼을때 장점이 있기때문에 저렇게 쓰라고 나온거에요 그걸 왜 저렇게 쓰냐고 문제있다고 하면
진짜 말그대로 다른거 쓰세요 밖에 안나와요.
자전거 페달굴러야 하는데 왜 페달굴러야 하냐. 그럼 전기자전거나 오토바이 사세요 밖에 안나오는거에요..
어떠한 기술이 맞다고 쳐도, 그 기술에 대해 사용자가 모르는채 사용하면 보안이슈인겁니다
이렇게 사용하면 이렇게 된다라고 큰 문제가 생길 가능성이 있다면 명시적으로 알려줘야 보안이슈가 없는겁니다. 그때부터는 고객의 책임인거죠,
약관에 쪼그맣게 적어뒀으니 아무런 문제가 없다는 얘기는 정말 기술로만 현실을 판단하기 때문이라고 봅니다.
만약 그게 괜찮다면 얼마전 카카오맵이 개인정보 유출 문제로 조사를 받을리가 없죠. 따지고보면 다 적혀있으니까 말이죠.
애당초 일반 사람들은 구글 드라이브처럼 링크 생성을 했을때 사용자가 파일을 삭제하면 링크도 무효화 되기를 바라죠.
실제로 구글 드라이브의 링크는 파일을 삭제하면 삭제하면 무효화가 되구여
다들 그렇게 생각하고 프로그램을 사용하는데
"url의 시간이 너무 김, 파일을 삭제해도 url로 다운받아짐" 이것을 상상이나 하고 쓰는 사람이 있을까요?
사용자가 착각하도록 프로그램을 설계하고, 주의사항을 정확히 명시하지 않는것은 보안이슈가 맞습니다
사이트 비밀번호는 왜 자리수 제한이 있고 어디는 특수문자까지 넣어야 할까요,,
기술자 입장에서는 비밀번호 '1' 이렇게 사용한 사용자가 문제거든요.. "비밀번호 1은 서버에서 충분히 암호화 되니, 비밀번호를 그렇게 만든 너가 문제다" 이런식인거죠,
하지만 웹페이지 비밀번호 한자리로 만들수 있으면 충분히 보안이슈 맞습니다
"공용pc를 안쓰면 될것 아니냐" 이게 얼마나 허망한 소리냐면 아주 많은 해킹이 사람에 의해서 생깁니다.
공용pc가 아니라 자기 pc를 써도 회사같은데서 노션 한번 쓰면 화장실갈때나 담배피러가거나 자리비울때마다 다운로드 삭제하고 가야한다는 이야기죠.
뭐 다 떠나서 저러한 사항을 많은 사람들이 모르고 쓴다는 그자체가 문제인겁니다.. 그게 보안이슈구여
사람들이 그 모르는 상황을 이용하여 정보유출이 가능한 상황이 된 그자체가 보안이슈구여
기술이 문제가 아니에여..
굉장히 큰 보안이슈 인것처럼 말씀하시는데 전제로 하시는 상황이...오히려 근본적으로 보안에 취약한 상황이라는거죠.
진짜 위험한건 이런거에요.
공유 pc에서 OS level의 동일한 사용자를 사용합니다.
공유 pc를 사용하다가 세션이 유지된 채로 화장실에 갑니다.
공유 pc에서 시크릿 모드를 이용하지 않고 인터넷을 씁니다.
사무실에서 개인pc에 lock을 걸지 않고 자리를 비웁니다.
저희 회사는요. 개인 컴퓨터 안잠그고 자리비우면, 발견한 사람이 전사 메일로 유니콘 첨부해서 보내거나, 피자 쏜다고 공지합니다.
(충분히 큰 회사입니다.)
기술에 매몰되어서 사람의 관점에서 못보는게 아닙니다. 많은 사람들이 그렇게 쓰는 상황이 많고 어쩔수 없는 상황이 있다고 해서
문제가 없는게 아닙니다.
댓글 감사합니다 :)
노션이 서비스 시작한 지 생각보다 꽤 오래되었더군요. 투자금도 많이 받았고요.
이 보안 이슈가 생긴 게 처음이 아니라 노션 측이 모르고 있진 않을겁니다.
노션 같은 방식이 보편적으로 쓰이는 기술이라 하지만 저는 그동안 써 온 웹서비스에서 처음 겪어봅니다.
다른 서비스들은 완벽하게 해결했거나, 부족하더라도 대처를 해놓은 상태라면 노션은 이 문제를 그냥 손 놓고 있는 것 같습니다. 이 보안 문제가 그렇게 작은 거였나? 라는 생각을 계속 곱씹게 되었네요.
여담이지만, 웹서비스도 백신 소프트웨어 처럼 보안 점수 매겨주는 곳이 있었으면 좋겠어요.
어떤 협업툴은 보안점수 100점, 어느 노트앱은 50점 이런 식으로 말이죠.
저처럼 기능만 보고 서비스를 선택하는 일반인들은 나중에 큰 문제라도 생기면 눈 뜨고 당하는 기분일 겁니다.
아마 sass관련해서는 유사한 사이트들이 꽤나 많은 걸로 알고 있습니다만. 기업에서 소프트웨어 벤더를 정할때는 훨씬 다각적으로 보기 때문에 그렇게 일목 요연한 사이트는 많지 안지만 제가 알고 있는 영문 사이트가 몇가지 있네요~
https://www.slant.co
https://www.trustpilot.com
우와 알려주신 사이트 정말 좋네요. 웹서비스 뿐만 아니라 FileZilla 같은 유틸리티에 대한 평가도 있군요.
앞으로 새로운 툴을 찾을 때 유용할 것 같습니다.
즐겨찾기 했습니다. 공감 2개 드리고 싶네요ㅎㅎ
친절한 댓글 감사합니다^^
첨부 기능을 쓴다는건 그 페이지에 접근 가능한 사람에게 엑세스를 열겠다는 동의를 한거나 다름이 없습니다.
해당 페이지에 대한 접근 권한을 관리하고 그게 유출이 안되게 하는건 당사자들의 책임이구요.
파일을 내려 받았는데 그 파일을 유출 시키면 답이 없죠. 이 따는 DRM 같은 솔루션을 써야 맞습니다